galaxy 3 Posted 2011-09-15 15:32:27 Share Posted 2011-09-15 15:32:27 Доброго времени суток! С недавнего времени появилась проблема с колличеством ARP-записей в таблице. Возникает резкий скачек кол-ва записей, н-р: с 7000 до 10000, и резкий сброс до предыдущего кол-ва, временами меньшего кол-ва записей. И в таблице порядка 6000 разных IP-адрессов с одни MAC-адрессом, интерфейс- входящий VLAN. При резком росте кол-ва ARP-записей наблюдается увеличение загрузки ядра (к которому привязана сетевая) вплоть до 100% причем по обеим интерфейсам в произвольном порядке. О сервере с Mikrotik - Core i5 2400, сетевые карты Intel Pro/1000 PT Server Adapter EXPI9400PTBLK (10/ 100/ 1000Base-T,1000Mbps,Bulk,PCI-E кол-во онлайн-пользователей - 220 - 300 На сервере под Core2Duo ббыла таже картина, т.е. железо нипречем. Не могу понять в чем дело, помогите разобраться. Link to post Share on other sites
spaul 69 Posted 2011-09-15 15:45:56 Share Posted 2011-09-15 15:45:56 Ну єто самая обычная атака на переполнение arp таблици. Скорее всего у вас в сети кул-хацкер, но так же возможен вариант хомяк+вирус. Единоразовый вариант решения - вычислить по мак-адресу кто балуется. Если же хотите на будущее защититься то берите l2 железки с функцией защиты от arpstorm. Link to post Share on other sites
galaxy 3 Posted 2011-09-15 17:13:51 Author Share Posted 2011-09-15 17:13:51 Сеть уже перевожу на l2, скорее всего вирус+хомяк в той части что на неуправляемом железе. А как можно вычислить мак зараженной машины, по арп-таблице на микротике его неотследиш, на портах у коммутатора тоже невидно повторяющегося мак-а? Link to post Share on other sites
Magus 22 Posted 2011-09-15 18:17:33 Share Posted 2011-09-15 18:17:33 Может у вас петля с другим провайдером? Link to post Share on other sites
galaxy 3 Posted 2011-09-15 20:33:48 Author Share Posted 2011-09-15 20:33:48 Может у вас петля с другим провайдером? Да нет, на резерве есть сервер Микротик с каналом на УТ, на нем такого ненаблюдается. Он тоже влкючен постоянно, рост АРП-записей на нем отсутствует. к-во записей в таблице постоянно, так-как хлмяков на нем раз-два и обчелся, подключен в ту-же сеть Link to post Share on other sites
spaul 69 Posted 2011-09-15 22:53:20 Share Posted 2011-09-15 22:53:20 1. Каким образом при петле могут появляться arp записи с одним мак адресом и многими айпи адресами???? 2. С чего у вас мысль что если arp количество растет на одном хосте то должно рости на всех хостах что есть в сети?? Ответы: 1. К петле никак не относится. В петле может расти само количество пакетов arp. Но все они будут с одной и той же информацией, то есть с одинм и тем же mac-ip 2. arp записи образуются только на тех хостах, которые непосредственно учавствовали в обмене. Тоесть это начальный хост, конечный хост, ну или роутер, который стоял на границе сетей =) Link to post Share on other sites
galaxy 3 Posted 2011-09-16 06:11:46 Author Share Posted 2011-09-16 06:11:46 1. Каким образом при петле могут появляться arp записи с одним мак адресом и многими айпи адресами???? 2. С чего у вас мысль что если arp количество растет на одном хосте то должно рости на всех хостах что есть в сети?? Ответы: 1. К петле никак не относится. В петле может расти само количество пакетов arp. Но все они будут с одной и той же информацией, то есть с одинм и тем же mac-ip 2. arp записи образуются только на тех хостах, которые непосредственно учавствовали в обмене. Тоесть это начальный хост, конечный хост, ну или роутер, который стоял на границе сетей =) Да 2-й вариант - пограничный роутер на нем и происходит резкий рост кол-ва arp-записей. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now